本发明专利技术公开了基于过程管控和人工智能的自动识别横向移动的方法,其特征在于,能够自动检测出恶意的RDP会话,每一次网络攻击在终止之前都会经历几个阶段。横向移动是其中一个特别重要的阶段,远程桌面协议RDP是横向移动使用的一种主要工具,用于成功向未经授权的主机进行身份认证,该主机会在主机和Windows事件日志上留下足迹,并通过将机器学习模型运用于所述的Windows事件日志中的RDP会话,鉴别RDP会话是否为恶意的,所述方法,还包括如下步骤:(1)提取特征,(2)预处理,(3)基于LogitBoost算法的恶意RDP会话的检测,(4)检测出恶意的RDP会话,(5)网络攻击处于横向移动阶段。通过本发明专利技术,能够检测出过程管控所述的横向移动,以实现网络攻击的早期预警。以实现网络攻击的早期预警。以实现网络攻击的早期预警。
【技术实现步骤摘要】
基于过程管控和人工智能的自动识别横向移动的方法
[0001]本专利技术涉及网络安全、SOC(Security operation center)、过程管控、人工智能、横向移动的
,尤其涉及到基于过程管控和人工智能的自动识别横向移动的方法。
技术介绍
[0002]已有的安全威胁检测方法假设入侵成功,并将重点放在单个事件上。然而,在最近的网络攻击特别是复杂的攻击中,单个黑客发起的一场攻击的战役,通常由多个较小的、不易察觉的攻击所组成。检测这些攻击可能具有挑战性,因为一场战役可能会随着时间的推移而发展,包括多个阶段,每个阶段都旨在挫败防御,并在不同的时间发生。
[0003]网络空间中发生的所有攻击都有一种模式,可以被描述为一系列事件,这个一系列事件可以被划分为不同的阶段,也被称为过程管控模型(如图1所示)。网络攻击,从侦察和识别网络中的目标开始。然后是制造武器化的有效载荷。有效载荷的武器化通常采取恶意电子邮件和附件的形式,这些邮件和附件被发送给感兴趣的目标机器。攻击在交付之后开始,恶意代码在交付之后被触发。虽然恶意代码可以独立执行,但是一些恶意软件利用目标机器上的应用程序进行攻击。这可能包括基于操作系统的BUG(例如,在RDP和PsExec中)到基于应用程序的BUG(例如,在实时进程中,如Google Chrome和Microsoft Office中)。然后,攻击者继续在系统上安装安全后门或激活系统内置功能(如RDP),从而允许外部持久连接。建立持久连接后,攻击者可以在环境中横向移动时开始执行不同的操作。这些操作在目标机器上留下系统日志,且在横向移动攻击检测中利用了这些日志。
[0004]大多数安全系统在internet和intranet之间保持着强大的边界(例如,防火墙、入侵防御系统),攻击者虽然能够选择访问其背后的目标主机,但是,攻击者很难对驻留在intranet中的资产发起攻击。因此,攻击者通常利用社会工程技术(如钓鱼、诱饵等)诱骗网络内部人员执行恶意代码或交出凭据。这使得攻击者能够访问受害者的计算机,并通过利用其它intranet实体的漏洞逐渐探索有价值的信息。这通常被称为横向移动(Lateral Movement LM)。
[0005]在过程管控模型中,横向移动被视为一种重要的网络攻击行为。横向移动包括窃取凭证和渗透到被攻击者控制的其它机器中,以便在网络中横向移动并获得更高权限以实现攻击者的目标。
[0006]在横向移动阶段,攻击者倾向于使用合法的系统工具,这使得网络攻击的检测成为一项具有挑战性的工作。然而,机器学习(Machine Learning ML)技术已被广泛用于复杂网络攻击的检测中。机器学习是从数据中提取知识和学习系统行为的理想工具,一种人工智能的方法。
[0007]高级持续威胁(Advanced Persistent Threat APT)是最突出的复杂网络攻击的典型代表,有可能对各种组织和企业造成重大损害。这是一种隐蔽攻击,攻击者在很长一段时间内未经授权地访问网络。据报导,一个被称为Carbanak的后门程序给一家金融机构造成了10亿美元的损失。此外,超过8000万个社会保险号码从大型健康保险公司Anthem处被
窃取,这还是在9个月后才被发现的。
[0008]APT检测方法通常依赖于网络流量数据或主机系统日志来发现APT的证据。基于网络的入侵检测已经得到了很好的探索,但有几个缺点。首先,可以从网络数据中提取的信息有限。出于隐私考虑,未经用户同意检查网络有效负载是非法的,这使得在数据包统计数据和基本五元组(即源IP、目标IP、源端口、目标端口和协议)之外提取有意义的信息变得非常重要。此外,最近72%的网络流量使用协议加密,如传输层安全(TLS)。这使得在不显著降低系统性能的情况下检查数据包的有效负载具有挑战性。此外,发起APT的攻击者往往比较谨慎,并且经常利用自定义协议,从而更难检测网络数据中的异常行为。
[0009]另一方面,基于主机的入侵检测可以克服上述限制。在终端主机,数据被解密,允许提取信息,包括有效负载熵、丢包率和登录失败,这可以提高检测性能。此外,操作系统具有内置的日志功能,可以提供丰富的信息。通过启用或禁用不同的日志记录级别和策略,只能记录有用的信息。APT中有多个阶段,某些阶段会留下足迹,以便在早期阶段检测入侵。例如,入侵者可以访问intranet中的目标主机,但此操作将在终端主机上生成可疑日志。
[0010]远程桌面协议(Remote Desktop Protocol RDP)由Microsoft设计用于提供远程显示和输入功能,而远程桌面服务(Remote Desktop Service RDS)是Microsoft Windows平台上实现RDP的本机服务。合法网络管理员经常使用此服务。然而,它也是攻击者在横向移动阶段期间使用的主要工具,因为区分合法的或恶意的使用该工具具有挑战性。
技术实现思路
[0011]为了解决上述技术问题,本专利技术提供了基于过程管控和人工智能的自动识别横向移动的方法,采用LogitBoost算法和Windows RDP事件日志来检测横向移动的证据,以实现网络攻击的早期预警。
[0012]基于过程管控和人工智能的自动识别横向移动的方法,其特征在于,能够自动检测出恶意的RDP会话,每一次网络攻击在终止之前都会经历几个阶段。横向移动是其中一个特别重要的阶段,远程桌面协议RDP是横向移动使用的一种主要工具,用于成功向未经授权的主机进行身份认证,该主机会在主机和Windows事件日志上留下足迹,并通过将机器学习模型运用于所述的Windows事件日志中的RDP会话,鉴别RDP会话是否为恶意的,所述方法,还包括如下步骤:
[0013](1)提取特征,包括的特征如下:
[0014]User(Usr):用于RDP身份认证的用户名;
[0015]Source(Src):发起RDP身份认证的源主机;
[0016]Destination(Dst):RDP身份认证的目标主机;
[0017]Session duration:RDP会话的持续时间(秒);
[0018]User time difference:包含用户Usr
i
的两个连续RDP身份认证事件e
j
和e
k
的时间差;
[0019]Source time difference:包含源主机Src
i
的两个连续RDP身份认证事件e
j
和e
k
的时间差;
[0020]Destination time difference:包含目标主机Dst
i
的两个连续RDP身份认证事件e
j
和e
k
的时间差;
[0021]Mean of session duration for user:包含用户Usr
i
的所有RDP会话的平均持续时本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.基于过程管控和人工智能的自动识别横向移动的方法,其特征在于,能够自动检测出恶意的RDP会话,每一次网络攻击在终止之前都会经历几个阶段,横向移动是其中一个特别重要的阶段,远程桌面协议RDP是横向移动使用的一种主要工具,用于成功向未经授权的主机进行身份认证,该主机会在主机和Windows事件日志上留下足迹,并通过将机器学习模型运用于所述的Windows事件日志中的RDP会话,鉴别RDP会话是否为恶意的,所述方法,还包括如下步骤:(1)提取特征,包括的特征如下:User(Usr): 用于RDP身份认证的用户名;Source(Src): 发起RDP身份认证的源主机;Destination(Dst): RDP身份认证的目标主机;Session duration: RDP会话的持续时间(秒);User time difference: 包含用户两个连续RDP身份认证事件和的时间差;Source time difference: 包含源主机的两个连续RDP身份认证事件和的时间差;Destination time difference: 包含目标主机的两个连续RDP身份认证事件和的时间差;Mean of session duration for user: 包含用户的所有RDP会话的平均持续时间;Mean of session duration for sou...
【专利技术属性】
技术研发人员:林薇,
申请(专利权)人:南京联成科技发展股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。